Gacha Posted January 31, 2004 Report Share Posted January 31, 2004 Nu tagad esmu kaut cik paveicis to ko gribeju, lai varetu lenaam likt vissu kopaa un palaist lapu onlainaa. Bet man bija taads gadiijums, ka manas lapas formumaa viens bija paradijis dazhus manas lapas trukumus. Es vinjam atbildeju, ka driiz viss buus uz MySQL un config faili buus aiz .htacces faila. Un vinjsh teica, ka tas baigi viegli lauzhaas augshaa!!! Nu vismaz es taa domaaju, ka uztaisishu to .htaccess, bet vai tas buus droshi? Ko juus lietojat, lai aizsargaatu savus config failus(piem. man ir mysql.php kur piekonekteshanaas pie DB), vai tieshaam to .htaccess ir tik viegli uzlauzt? Link to comment Share on other sites More sharing options...
hu_ha Posted January 31, 2004 Report Share Posted January 31, 2004 vai tieshaam to .htaccess ir tik viegli uzlauzt? nu ja serveris ir pareizi konfigureets, tad .htaccess failu noraadiitaas permiicijas apiet nevajadzeetu vareet.. viss atkariigs ko tu tajaa .htaccess failaa noraadi, ja noraadi: order allow,deny deny from all tad neviens netiks klaat konkreetajai direktorijai un failu buus iespeejams nolasiit tikai ar php paliidziibu (fread, fwrite) - karoche izdomaa ko tu tur gribi aizsargaat.. ja tev mysql.php fails nemet aaraa paroles uz ekraana, tad attieciigi sho failu nav nemaz jaaaizsargaa... aizsargaat tev vajag failus, kas nav ar php extensionu, jo tos var nolasiit (piem, txt) un nav jeegas sargaat gif, jpg u.c. protams ieteicams atsleegt directory listingu - lai nevar redzeet kaadi tev fail direktorijaa... kaut kaa taa.. :) Link to comment Share on other sites More sharing options...
Gacha Posted January 31, 2004 Author Report Share Posted January 31, 2004 Es jau taa domaaju, ja man mysql fails ir php fails, tad to nemaz nevar atvert un redzeet, bet ko zin tie hakeri jau viskaut ko izdomaas. Nu veel man ar to .htaccess vajadzetu aizsargaat vienu failu, kuraa sleepjas aizkodetas paroles lietotajiem. Bet par to mysql failu - Nu es taadu uztaisiju lai ja kas mainaas tad username, parole un DB butu janomaina tikai vienaa failaa un to failu inkludo kur vajag. Bet ja kaads uzzina, kaa man to failu sauc tad varetu buut suudi, jo vinjam jau nevajag zinaat kaada ir taa parole tur iekshaa vai username. Vinjsh uztaisa kaadu scriptinju un scripta augshaa ieraksta <? include ("http://manalapa.lv/mysql_config.php"); ?> Un vinjam ir vallaa visas durvis uz manu Mysql datu baazi :o :o :o Vai tad taa nevar? Tapeec to failu vajag iebaast aiz resteem ar .htaccess paliidziibu. Link to comment Share on other sites More sharing options...
Vistu Zaglis Posted February 1, 2004 Report Share Posted February 1, 2004 if ($PHP_SELF != "tavalapa") { exit; } Link to comment Share on other sites More sharing options...
jb4 Posted February 1, 2004 Report Share Posted February 1, 2004 Vistu Zagli, vecozēn, nemāci puikus ar register_globals on!!! Viņi vienā forumā prasa kāpēc viņiem neiet tas, ko pamāca citā forumā tie, kas strādā ar register_globals on :)) Link to comment Share on other sites More sharing options...
Aleksejs Posted February 1, 2004 Report Share Posted February 1, 2004 Problēma ar šādu pieeju if ($PHP_SELF != "tavalapa") { exit; } ir tas, ka tev šis skripts izpildīsies tikai iekš "tavalapa", bet ja uztaisīsi lapas "savalapa" un "viņalapa", tad nāksies taisīt kautkādu case tipa: switch ($_SERVER['PHP_SELF']){ case 'manalapa': break; case 'tavalapa': break; case 'viņalapa': break; case default: exit; } //kods un ja šīs lapas būs ļoti daudz un bieži mainīsies, tad būs jādomā kāda cita pieeja. Link to comment Share on other sites More sharing options...
Gacha Posted February 1, 2004 Author Report Share Posted February 1, 2004 Bet reali vinjsh taa var tikt klaat pie mana mysql DB ar to include? Link to comment Share on other sites More sharing options...
Aleksejs Posted February 1, 2004 Report Share Posted February 1, 2004 No attālināta datora sliktais dabūs tikai noparsētu html failu, ja izsauks include('http://www.tavalapa.lv/mysql_config.php"); No tā paša datora, gan sliktais, var ieraudzīt tava faila saturu. Ja: 1) viņš var izvaidot kādu failu/(likt izpildīties patvaļīgai php funkcijai) tavā katalogā. Piemēram, sliktais izveido failu apskatit.php, kas satur: <? highlight_file('mysql_config.php' ?> 2) Jūs abi hostējaties uz viena un tā paša servera, un serveris ir uztaisīts pietiekami līki, lai atļautu ieincludēt vienam otra failus Piemērs: /var/www/gachaslapa - tavas weblapas katalogs /var/www/sliktaalapa - sliktaa weblapas katalogs Šajā gadījumā sliktais var uztaisīt līdzīgu failu kā iepriekš tikai nu jau savā katalogā un raksta highlight_file('../gachaslapa/mysql_config.php'); Ievēro - tas, ka tu pieslēdzoties pie servera ar ftp/ssh nevari uztaisīt cd uz augstāku direktoriju, vai direktoriju "sliktaalapa" nepasaka itin neko par to, vai lietotājs noname (pieņemsim, ka tā sauc lietotāju ar kura id izpildās PHP) var darīt šādas lietas, vai nē. Apmēram tā, plus vēl daudzas jo daudzas lietas, kas varētu noiet greizi. piemēram, sliktais varētu uzhackot visu serveri, uz kura hostējas tava lapa un iegūt tur root tiesības - tātad iespēju izlasīt tavu failu. utt. Link to comment Share on other sites More sharing options...
Gacha Posted February 1, 2004 Author Report Share Posted February 1, 2004 Nu mana lapa ir uz no.lv un liidz shim neko labu par to es neesmu dzirdejis. :D Tapeec ei nu sazin, kaa tas ir nokonfigureets. Link to comment Share on other sites More sharing options...
Recommended Posts